---פנימי---

11

SOXאתגרי ניהול ויישום בחברה גדולה

כנס היובל של לשכת המבקרים הפנימיים 2010בדצמבר 22

ח מנהלת מחלקת "רו, יעל רונן SOX

---פנימי---

22

בנושא בקרה לדיווח כספי וגילוי תקנות ניירות ערך והוראות המפקחרקע ותחולה

להלן (תקנות ניירות ערך " ISOX "):

תקנות ניירות ערך בקשר לבקרה הפנימית לדיווח כספי ולגילוי בתאגידיםהועדה לבחינת קוד ממשל("מדווחים מאמצות את עיקרי המלצות ועדת גושן

. SOX302- ו SOX404את " מגיירות"ו") תאגידי בישראל 2010. תחולתן מדצמבר

הוראות הממונה על שוק ההון ביטוח וחסכון לעניין הבקרה הפנימית על הדיווח הכספי ועלהוראות המפקח"להלן (הגילוי :(

אימצו את הוראותSOX302 , 2006/2007 תחולתן מדצמבר

אימצו את הוראותSOX404 , 2010. תחולתן מדצמבר

---פנימי---

3

התקבולים, מכלול האמצעים שמיישם הארגון על מנת להבטיח שכל העסקאותמסוכמים ומדווחים, מעובדים, והתשלומים נרשמים :

בשלמותם חישובים ואומדנים(באופן מדויק ונאות (

בתקופת הדיווח המתאימה(במועד ( בהתאם להנחיות ההנהלה והדירקטוריון

על פי הכללים החשבונאים המקובלים והוראות הפיקוח

?מהי בקרה פנימית לדיווח כספי

---פנימי---

44

מ"כלל החזקות עסקי ביטוח בע

מ"כלל חברה לביטוח בע

כלל גמל

מיטביתעתודות

עתודות כלל ביטוח

אשראי

כלל בריאות

כלל פיננסים

חיתום

טהורי

קרנות נאמנות

בטוחה

נגזרים

ברוקראז

שירותים פיננסייםביטוח כלליחסכון ארוך טווחביטוח בריאותענפים אחרים

Guard

Broadgate

TITANIUM

כלל אשראי ומימון

ISOXהוראות המפקח

רקע על התאגיד: קבוצת כלל החזקות עסקי ביטוח

כלל החזקות סוכנויות

כלל ביט מימון

תעודות סל

---פנימי---

החברה ורואי החשבון, ליקויים בבקרות העיקריות לדיווח כספי יאותרו ויתוקנו: מטרה". חלקה"חוות דעת 2010 יפרסמו החל משנת

: אתגרים

הבקרות והליקויים העיקריים לדיווח , מיקוד העבודה מבחינת זיהוי התהליכים. הכספי

רתימת הארגון למשימה מתמשכת של שדרוג הבקרה ותרבות הבקרה .

תיאום עם רואי החשבון .

ניהול הפעילות והממשקים:ישויות משפטיות נפרדות בארץ , 12 תהליכים170

יועצים ורואי חשבון ), ועדת היגוי וגילוי, דירקטוריונים וועדות ביקורת(ל " ובחו. ממשרדי רואי החשבון הגדולים בארץ

ניהול המידע ושמירה על עדכניותו לנוכח קיום שינויים תמידיים בתהליכי העבודה. ובמערכות המידע

בקבוצה SOXאתגרים עיקריים ביישום

---פנימי---

66

: לוחות זמנים להיערכותבקרות לדיווח כספי

12/1012/1012/0912/09

אימות התיעוד וניתוח פערי בקרה בגופים המוסדייםאימות התיעוד וניתוח פערי בקרה בגופים המוסדיים, , תיעודתיעוד

12/0812/08

חח""ביקורת רוביקורת רו

תיקונים ושיפורים בקשר לליקויים שאותרו תיקונים ושיפורים בקשר לליקויים שאותרו

טסטיםטסטים- - בדיקת אפקטיביות הבקרות בדיקת אפקטיביות הבקרות

6/096/0912/0712/07

3/093/09 9/099/09 6/106/103/103/10 9/109/10 3/113/11

תכנון מוסדייםתכנון מוסדיים ועדכון תכנון מוסדייםועדכון תכנון מוסדיים ISOXISOXתכנון תכנון

חח""ביקורת רוביקורת רו

דוח ההנהלהדוח ההנהלה

ISOXISOXבתהליכי בתהליכי

ISOXהוראות המפקח

---פנימי---

12/1112/1112/1012/10

אימות התיעוד וניתוח פערי בקרהאימות התיעוד וניתוח פערי בקרה, , תיעודתיעוד

תיקונים ושיפורים בקשר לליקויים שאותרו תיקונים ושיפורים בקשר לליקויים שאותרו

מבדק פנימי של אפקטיביות הבקרותמבדק פנימי של אפקטיביות הבקרות

6/106/103/103/10 9/109/10 6/116/113/113/11 9/119/11 3/123/12

תכנוןתכנון

דוח ההנהלהדוח ההנהלה

: לוחות זמנים להיערכותודוח לעמית ולמבוטחלציבור , דיווחים לרגולטור

7

6/126/12 9/129/12 3/133/1312/1212/12

מבדק פנימי של אפקטיביות הבקרותמבדק פנימי של אפקטיביות הבקרות

דוח ההנהלהדוח ההנהלה

מבדק פנימי של אפקטיביות הבקרותמבדק פנימי של אפקטיביות הבקרות

דוח ההנהלהדוח ההנהלה

---פנימי---

8

ועדת היגוי עליונה ועדת היגוי עליונה

ועדות היגויועדות היגוימקצועיות מקצועיות בחטיבות בחטיבות

ובחברות הבנותובחברות הבנות

מנהלת מחלקתמנהלת מחלקת SOXSOX

המערך הארגוני

מבקר מבקר פנימיפנימי

SOXSOXצוות מחלקת צוות מחלקת ויועצים חיצונייםויועצים חיצוניים

משאבים משאבים

מערכות מידעמערכות מידע

קרנות פנסיהקרנות פנסיה

קופות גמל קופות גמל

השקעות השקעות

ביטוח בריאותביטוח בריאות

ביטוח כלליביטוח כללי

ביטוח חייםביטוח חיים

רפרנטים חטיבתייםרפרנטים חטיבתייםואחראי תהליכיםואחראי תהליכים

המערך הארגוני

רואי חשבון רואי חשבון חיצונייםחיצוניים

---פנימי---

מודול (יושמה מערכת דיינסק SOX) המשמשת כמאגר מידע מרכזי של הקבוצה הכולל את : ) תרשימי זרימה ותיאור מילולי) SOXתיעוד תהליכי העבודה שהוכנו במסגרת

.תיעוד סיכונים ובקרות שזוהו בתהליכי העבודה . תיעוד תוצאות בדיקת אפקטיביות הבקרות

. מעקב תיקון ליקויים

: הגורמים שעושים כיום שימוש במערכת . היועצים ורואי החשבון , SOXמחלקת

חברות בנות /רפרנטים בחטיבות ניהול סיכונים, ביקורת פנימית, ארגון ושיטות :גורמים נוספים .

יכולה לשמש כבסיס ליישום מודולים של המערכת ,SOXהתשתית שהוקמה במסגרת ה

. התומכים ברגולציות נוספות

מערכת דיינסק : ניהול המידע

---פנימי--- תהליכים רוחביים :אתגרים ביישום

המגיש שירותים, תהליכים המבוצעים על ידי גורם מרכזי בארגון :הגדרת תהליכים רוחביים. בתחום התמחותו למספר חברות בקבוצה

: תהליכים רוחביים אופייניים

משאבי אנוש

רכש

השקעות

פיתוח ותפעול מערכות מידע

אבטחת מידע

ייעוץ משפטי

: בחינת הבקרות

בתהליך המבוצע על ידי נותן השירות מרכזי

בממשקים ובתהליכי המשך המבוצעים אצל מקבלי השירות .

---פנימי---

11

מיקור חוץ :אתגרים ביישום

: שירותים אופייניים

עיבודי שכר

תפעול קופות גמל

חישוב שערים ומטריצות ריבית, פלטפורמות השקעה/תפעול קרנות השקעה.

: קבלת החלטה לגבי דרך הפעולה

ביצוע בדיקה על ידינו

קבלת דוחSAS70

ל לקבלת דוחות "ניהול המגעים עם ספקי שירות בארץ ובחו SAS70:

תיאום יעדי הבקרה וה UCC

עלויות

ז"בקרת לו

---פנימי---

12

דגשים בבחינת הבקרות: אתגרים ביישום

מקצה לקצה"הבנת ובחינת הבקרות :"

חשבונאי /מהרובד התפעולי ועד לרובד הרישומי

חוצה יחידות ארגוניות וממשקים בין יחידות

חוצה מערכות מידע וממשקים בין מערכות מידע

:מיקודהגדרת בקרות המפתח, עקרון המהותיות

: נוהליות ובקרות אפליקטיביות/בחינה אינטגרטיבית של בקרות ידניותהבקרות האפליקטיביות שנבחנו כחלק מההערכה הכוללת של הבקרות בתהליכים

:העסקיים

פלט ממוכנות/בקרות קלט

בקרות לגבי שלמות ונכונות עיבודים וממשקים עיקריים

נתיבי ביקורת ממוכנים

---פנימי---

13

הפרדת תפקידים ובדיקת הרשאות : אתגרים ביישום

: רובד ראשוןהאם מתקיימת הפרדת תפקידים פונקציונאלית בין היחידות והגורמים המשתתפים

? בתהליך

מיפוי וניתוח הפעילויות והפונקציות המשתתפות בתהליך: :דרך הבדיקה .

: רובד שני ?האם מבנה מנגנון ההרשאות תומך ביישום הפרדת התפקידים הנדרשת

. תשאול ותיעוד מבנה מנגנוני ההרשאות באפליקציות עיקריות: דרך הבדיקה. הרצת כלי בדיקה על ידי גורם חיצוני : ERPבמערכת

:רובד שלישי? האם ההרשאות שניתנו בפועל למשתמשים מקיימות את הפרדת התפקידים הנדרשת

ניתוח נתוני ההרשאות והצלבות עם קובץ כוח אדם ועם סמכויות חתימה: דרך בדיקה .

---פנימי---

14

: דוגמאות

. הפרדה בין מערך קדמי ומערך אחורי בתחום ההשקעות

תשלומים(תביעות ), תקבולים(גביה , הפרדה בין הפונקציות העוסקות בהפקת פוליסות .(

. הפרדה בין המערכים העסקיים למערכי החשבות

. סמכויות לחתימה על הוראות תשלום

המשך(הפרדת תפקידים ובדיקת הרשאות : אתגרים ביישום (

---פנימי--- מערך המחשוב :אתגרים ביישום

חברה בת למחשוב הנותנת שירותים לכל חברות הקבוצה בארץ

ניטור, גיבויים, תקשורת, בסיסי נתונים, מערכות הפעלה :תחום תשתיות והפעלה .

אפליקציות100 כ ( תחומים אפליקטיביים :(

מערכות לניהול הפעילויות העסקיות

מערכתERP : ספר ראשי ורכש

מערכותDWH ,BI

מערכותCRM

. מיקור חוץ במספר תחומים

END USER COMPUTING

---פנימי---

16

סביבת הבקרה ובקרות כלליות בסביבת המחשוב

בקרות באפליקציות

תהליכים עסקיים

דיווח כספי

מקומו של מערך המחשוב בתפיסת הבקרה :אתגרים ביישום

---פנימי---

17

תחומי הכיסוי : בקרות כלליות בסביבת המחשובבקרות כלליות בסביבת המחשוב – תחומי הכיסוי

אבטחת מידע פיתוח וניהול שינויים

באפליקציות

תפעול

סביבתהבקרה

פיתוח וניהול שינויים

בתשתיות

---פנימי---

18

: ברובד האפליקציותקיום ויישום מתודולוגיה ונהלים לפיתוח וניהול•

. שינויים: תהליך פיתוח וניהול שינויים כולל•

תעדוף ואישור משימות •ביצוע בדיקות •הפרדה בין סביבות •ניהול גרסאות ותהליכי העברה לייצור •הסבה •)כולל הדרכות(הטמעה •

רשתות ומערכות, ברובד בסיסי הנתונים:הפעלה

• תחזוקה/שדרוג/קיום ויישום נהלי הקמהניהול גרסאות ויכולת שחזור •

פיתוח וניהול שינויים

באפליקציות

פיתוח וניהול שינויים

בתשתיות

המשך(תחומי הכיסוי : בקרות כלליות בסביבת המחשוב (

---פנימי---

19

אבטחת מידעקיום מדיניות ונהלים בתחום אבטחת•

. המידע בארגוןתהליך מתן הרשאות לאפליקציות•

. ותשתיותהקשחה של תשתיות וסיסמאות בהתאם•

. למדיניות. ניטור שוטף ותקופתי•

אבטחת מידע

המשך(תחומי הכיסוי : בקרות כלליות בסביבת המחשוב (

---פנימי---

20

תפעול מערכות מידעניהול ובקרת פעולות מתוזמנות•

(Batch programs) במערכות המידע..גיבויי מידע ושחזורים•

תמיכה במשתמשי מערכות המידע•

תפעול

המשך(תחומי הכיסוי : בקרות כלליות בסביבת המחשוב (

---פנימי---

21

סביבת הבקרהתוכניות , אסטרטגיה •

ועדות היגוי, עבודה ..נהלים •

. הפרדת תפקידים •

סביבתהבקרה

המשך(תחומי הכיסוי : בקרות כלליות בסביבת המחשוב (

---פנימי---

22

END USER COMPUTING : אתגרים ביישום

. מערכות שהפיתוח והתחזוקה שלהם מבוצעים במלואם או בחלקם על ידי משתמשי קצה

:סוגי מערכות שנכללו בקטגוריה זו

גיליונות אקסל

מערכותBI

אקטואריות ייעודיות/מערכות סטטיסטיות

: מתודולוגית הבקרה

על פי מדיניות אבטחת המידע של הקבוצה: בקרות גישה .

הבחנה בין שינויים המבוצעים על ידי יחידת מערכות המידע: בקרות ניהול שינויים,. לבין שינויים המבוצעים על ידי המשתמשים

עם, בהתאם למגבלות הכלי, שילוב של בקרות מיכוניות :פלט/עיבוד/בקרות קלט. בקרות תקינות וסבירות ידניות על ידי משתמשי הקצה

---פנימי---

23

סביבת הבקרה

הערכת סיכונים

פעילויות הבקרה

מידע ותקשורת

פיקוח ומעקב

הערכת הבקרות הכללית ברמת הארגון :אתגרים ביישום

---פנימי---

24

סביבת הבקרה קובעת את אופי הארגון וכוללת את סגנון הניהול: סביבת הבקרהמדיניות ניהול, ערכי יושר ומוסר בארגון, חלוקת הסמכויות והאחריות, המבנה הארגוני,

'. כוח האדם וכו

התהליך שמבצעת ההנהלה על מנת לזהות את הסיכונים השונים :הערכת סיכונים. אליהם חשוף הארגון ולנקוט בפעולות הבקרה הנדרשות

הבקרות המשולבות בתהליכי העבודה של הארגון :פעילויות הבקרה

כולל, קיום ערוצי תקשורת לזרימת המידע בין ההנהלה לעובדים: מידע ותקשורת. אמצעים לדיווח על חריגים וליקויים

ביצוע פעולות שמטרתן לבחון יישום עקבי ואפקטיבי של הבקרות לאורך :פיקוח ומעקבפיקוח על ידי ההנהלה ועל ידי גורמים בלתי תלויים דוגמת המבקר הפנימי :כגון, זמן .

המשך(הערכת הבקרות הכללית ברמת הארגון :אתגרים ביישום (